看有个帆软0day公告:
看帆软官网:https://help.fanruan.com/finereport/doc-view-4833.html
修复方案:
1)参考 限制IP访问工程 方案一禁用老引擎接口
请注意,2024-07-22日,该方案的 url.properties 文件已更新,请重新下载文件并参考文档配置
面向本漏洞的规则是:rule3=/view/ReportServer、rule4=/view/ReportServer/
如不希望禁用远程设计和单点登录相关接口,删除相关rule即可
2)删除工程/webapps/webroot/WEB-INF/lib下sqlite-jdbc-*.jar(删除sqlite-jdbc-*.jar后无法使用SQLite数据连接)
请在驱动删除后重启工程以确保生效
看下SpringKill的锐评:
看到这里想起来,确实好几个月前,当时SpringKill就说还有新链可以r。
SpringKill(0day哥)后面手上channel接口还捏着两条链呢...
最后看看牛逼的SpringKill在写什么项目:
原文始发于微信公众号(阿呆攻防):帆软“0day”?SpringKill:老洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论